Rozmowa z adwokatem Michałem Kluską z kancelarii Domański Zakrzewski Palinka
Krzysztof Sobczak: Rozumie pan, o co chodzi z tą nagłą zmianą w projekcie ustawy o ochronie danych osobowych, która ma umożliwić podmiotom publicznym przekazywanie sobie danych bez obowiązku informacyjnego wobec osób, których te dane dotyczą?
Michał Kluska: Intencję tej propozycji rozumiem, ale jej nie uznaję. Zaskoczony jestem natomiast trybem wprowadzenia tej poprawki. Od wielu lat zajmuję się tą problematyką, ale teraz jestem mocno zaniepokojony i poruszony tym, w jakim trybie i stylu wprowadzenie tych przepisów do czwartej już chyba wersji projektu ustawy. Ja nie zauważyłem, żeby ten temat wcześniej jakoś omawiany czy komentowany. On nie pojawił się też w trakcie konsultacji projektu. Może nie byłem wśród tych szczęśliwców, z którymi o tym dyskutowano, ale nie kojarzę takiej debaty. A tymczasem to jest jedno z fundamentalnych zagadnień w tej regulacji.
Czytaj: Specjalne uprawnienia dla publicznych administratorów danych osobowych budzą obawy>>
Nas w redakcji też to zaskoczyło i dlatego prosimy ekspertów zaangażowanych w tę problematykę o komentarze.
A gdy pan do mnie zwrócił się z tym pytaniem, to ja nie wiedziałem o co chodzi. Bo we wcześniejszych wersjach projektu nie było czegoś takiego. Ale gdy dotarłem do najnowszej wersji projektu to włos mi się na głowie zjeżył. Nie podoba mi się styl pracy nad tą ustawą, a już szczególnie "wrzucanie" tak ważnej rzeczy znienacka, gdy prace projektowe dobiegały już końca i jeszcze tylko Rada Ministrów miała go zaakceptować przed skierowaniem do Sejmu. Chociaż może powinniśmy się cieszyć, że nie zrobiono tego na samym końcu procesu legislacyjnego, czyli w Sejmie albo nawet w Senacie.
Czytaj: Niebezpieczne ułatwienia dla publicznych administratorów danych>>
Jednak niezależnie od trybu i stylu wprowadzenia poprawki najważniejsza jest jej istota, która może niepokoić.
To prawda, a ja mam wręcz wątpliwość czy ona mieści się w granicach implementacji unijnego rozporządzenia. RODO w artykule 23 daje możliwość wprowadzenia przepisów tego typu, które jednak według tego artykułu mają być właściwe i proporcjonalne, z poszanowaniem praw jednostki itd. Zastanawiam się jednak, czy tak szerokie wyłączenia są uprawnione. Bo nawet jeśli ja będę miał możliwość zapytania organu, czy moje dane są gdzieś przekazywane, to on zawsze będzie mógł odpowiedzieć, że to są informacje niejawne, że np. cele związane z obronnością państwa są nadrzędne z stosunku do tej informacji, którą ja chciałbym uzyskać. Wydaje mi się, że coraz mocniej zmierza to w kierunku tego co już robią firmy. Państwo też chce dążyć tworzenia jednego wielkiego Big Data, w ramach którego będzie możliwość wymieniania się informacjami pomiędzy różnymi organami i służbami.
To ma obejmować nie tylko dane mogące mieć znaczenie dla obronności czy bezpieczeństwa publicznego, ale także informacje zbierane przez urzędy skarbowe czy ZUS, a chyba też dotyczące zdrowia. A więc mogą krążyć między służbami dane o naszych majątkach, o stanie zdrowia.
Rzeczywiście, to może być bardzo szeroki zakres informacji. Instytucje gromadzące te dane i przekazujące innym mogą oczywiście twierdzić, że nigdy nie zostanie to wykorzystane do celów niezgodnych z prawem czy zasadami etycznymi.
I my możemy w to wierzyć lub nie.
No właśnie.
I kolejna sprawa, to czy i jak mogę to sprawdzić.
Jako obywatel, nie doradca, wolałbym nie polegać na wierze lub niewierze. Nie dlatego, że nie wierzę organom państwa, tylko dlatego, że to są bardzo płynne kryteria, które nie dają mi możliwości jakiejkolwiek obrony i sprawdzenia tego, co się dzieje z moimi danymi. Nie protestowałbym, gdyby to było wykorzystywane wyłącznie w celach związanych z obronnością czy do walki z terroryzmem. Ale myślę, że nie mamy wystarczającej gwarancji, przynajmniej czytając te projektowane przepisy, że będzie jakiś mechanizm kontrolny, a zainteresowany obywatel będzie mógł się o tym dowiedzieć. Boję się też tego, że jeśli zaczniemy teraz dyskusję o brzmieniu tego przepisu, chociaż najprawdopodobniej Rada Ministrów to we wtorek zaakceptuje, to nie zauważymy innych istotnych zmian, jakie jeszcze do tego projektu mogą być dodane. Zastanawiam się, czy to nie stanie się tematem zastępczym, który przesłoni nam coś innego. A przecież cały czas leży jeszcze pakiet około 200 ustaw, w których muszą być wprowadzone zmiany w związku z wejściem w życie od 25 maja unijnego rozporządzenia ogólnego o ochronie danych osobowych. Biznes, ale także my wszyscy na to czekamy, bo mogą tam znaleźć się ważne dla nas rozwiązania. Nie bardzo słychać, żeby te prace toczyły się w tempie umożliwiającym zamknięcie gotowych tekstów prawnych jeszcze przed 25 maja.